Ufficio Sistemi Informativi. Documento programmatico sulla sicurezza

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Ufficio Sistemi Informativi. Documento programmatico sulla sicurezza"

Transcript

1 Ufficio Sistemi Informativi Documento programmatico sulla sicurezza

2 Ing. Paolo Bertamini Documento Programmatico sulla sicurezza della Provincia di Lucca a cura dell Ufficio Sistemi Informativi 2

3 Indice 1 PREMESSE RICHIAMI NORMATIVI DEFINIZIONI DEFINIZIONI GENERALI TERMINI TECNICI ABBREVIAZIONI ASPETTI DELLA SICUREZZA NEL TRATTAMENTO DI DATI DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ GENERALITÀ DISTRIBUZIONE TERRITORIALE DELLE SEDI DELL ENTE SITUAZIONE ATTUALE E LINEE DI INTERVENTO SICUREZZA RISPETTO ALLA POSSIBILITÀ DI DANNI AI LOCALI, AGLI ARCHIVI E/O PERDITA DEI DATI ASPETTI GENERALI SITUAZIONE ATTUALE LINEE DI INTERVENTO MISURE MINIME DI SICUREZZA SICUREZZA RISPETTO ALLA POSSIBILITÀ DI INTERRUZIONE DEL FUNZIONAMENTO DELLE APPARECCHIATURE ASPETTI GENERALI SITUAZIONE ATTUALE LINEE DI INTERVENTO MISURE MINIME DI SICUREZZA SICUREZZA RISPETTO ALLA POSSIBILITÀ DI ACCESSO FISICO AI LOCALI, AI SISTEMI ED AGLI APPARATI DI RETE ASPETTI GENERALI SITUAZIONE ATTUALE LINEE DI INTERVENTO MISURE MINIME DI SICUREZZA SICUREZZA RISPETTO AGLI ACCESSI NON AUTORIZZATI AI SISTEMI ED ALLE INFORMAZIONI ASPETTI GENERALI SITUAZIONE ATTUALE LINEE DI INTERVENTO MISURE MINIME DI SICUREZZA SICUREZZA RISPETTO ALLA POSSIBILITÀ DI ACCESSO ALLA RETE ED AI SISTEMI PER VIA TELEMATICA ASPETTI GENERALI SITUAZIONE ATTUALE LINEE DI INTERVENTO MISURE MINIME DI SICUREZZA

4 3.6 SICUREZZA RISPETTO ALLA DIFFUSIONE DI VIRUS INFORMATICI ED AGGIORNAMENTI DEI PROGRAMMI APPLICATIVI E DEI SISTEMI OPERATIVI ASPETTI GENERALI SITUAZIONE ATTUALE LINEE DI INTERVENTO MISURE MINIME DI SICUREZZA SICUREZZA RISPETTO ALL'INTERCETTAZIONE DELLE INFORMAZIONI TRASMESSE ATTRAVERSO RETI TELEMATICHE ASPETTI GENERALI MISURE MINIME DI SICUREZZA SICUREZZA RISPETTO AL TRATTAMENTO DEI DATI CON STRUMENTI CARTACEI O COMUNQUE NON AUTOMATIZZATI ASPETTI GENERALI MISURE MINIME DI SICUREZZA

5 1 Premesse. 1.1 Richiami normativi Il D.Lgs 196 del 30/06/2003 che sostituisce la legge 675/96 ed il relativo corollario normativo (in particolare il dlgs 135 del 11/5/99 ed il dpr 318/99), pone con forza l'attenzione sui vincoli e gli obblighi di sicurezza dei patrimoni informativi. In particolare vengono normati i trattamenti dei diversi tipi di informazione ovvero dati personali, dati identificativi, dati sensibili e dati giudiziari. I concetti espressi riguardano genericamente l'informazione, comprendendo articoli relativi sia al trattamento dei dati tramite l ausilio di supporti di conservazione ed elaborazione elettronici sia per il trattamento degli archivi cartacei. Il DPR n.318/99, regolamento emanato a norma dell art.15, c.2 della L.675/96, individuava il complesso di misure tecnico-informatiche, organizzative, logistiche e procedurali di sicurezza che prefiguravano il livello minimo di protezione richiesta in relazione ai rischi di distruzione o perdita anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In relazione al DPR n.318/99 la Provincia di Lucca, con delibera G.P. n 501 del 22/12/2000 ha approvato il primo Documento Programmatico sulla Sicurezza che prendeva in considerazione le diverse tipologie di rischio relative al trattamento dei dati sia in forma elettronica che in forma cartacea e per ciascuna di queste proponeva le norme minime da adottare per il corretto e sicuro trattamento delle informazioni. L art.34, comma g) del DLgs 196/03 prevede la stesura di un nuovo ed aggiornato Documento Programmatico sulla Sicurezza redatto secondo le specifiche indicate nell allegato B Disciplinare tecnico in materia di misure minime di sicurezza della legge stessa, che tenga conto degli aggiornamenti normativi e delle evoluzioni tecnologiche degli ultimi anni. Queste informazioni, unitamente agli aggiornamenti dei Sistemi Informativi della Provincia di Lucca impongono un articolazione del Documento Programmatico sulla Sicurezza che tenga conto delle mutate valutazioni di esposizione al rischio. Con Deliberazione del Consiglio Provinciale n 139/A del 21/12/2006 si è provveduto all aggiornamento degli elenchi dei dati sensibili e giudiziari trattati all interno dell ente a cui si fa ancora riferimento non essendo intervenute modificazioni nel frattempo. Con provvedimento del Garante per la Privacy del 27 novembre 2008 pubblicato in G.U. n.300 del 24/12/2008 avente ad oggetto Misure ed accorgimenti prescritti ai titolari di trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema viene colmata una lacuna nelle definizioni del Codice sulla Privacy. Le funzioni tipiche dell amministratore di sistema venivano richiamate in ogni caso nell Allegato B dove si prevedeva l obbligo per i titolari dei trattamenti di assicurare la custodia delle credenziali di autenticazione. Nel loro complesso le norme predette mettono in evidenza la particolare capacità di azione propria degli amministratori di sistema per le quali è previsto il possesso di requisiti tecnico-organizzativi, di onorabilità, professionali, morali e di condotta ma tali figure non erano ancora esplicitamente contemplate nelle definizioni. Con il provvedimento del Garante viene quindi introdotto l obbligo da parte del titolare di trattamenti, di individuare la figura di Amministratore di sistema. Il Segretario Generale, Direttore Generale, titolare dei trattamenti per la Provincia di Lucca, con nota prot. n del 18/03/2009 ha individuato nella persona dell Ing.Paolo Bertamini, Responsabile della U.O.C.Sistemi Informativi, l Amministratore di Sistema per l ente. Ferme restando quindi le regole minime imposte dall Allegato B del D.Lgs. 196/03 e successive modificazioni, le linee di intervento proposte in questo documento vanno nella direzione 5

6 dell applicazione delle norme previste nella Legge, ma soprattutto in quella di garantire un adeguato livello di sicurezza al Sistema Informativo dell ente. 1.2 Definizioni Definizioni generali Ai fini del presente documento si intende per: a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato; d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) «interessato», la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; 6

7 o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; p) «banca dati», qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; Termini Tecnici Ai fini del presente documento si intende, inoltre, per: a) «misure minime», il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; b) «strumenti elettronici», gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; c) «autenticazione informatica», l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; d) «credenziali di autenticazione», i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; e) «parola chiave», componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; f) «profilo di autorizzazione», l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; g) «sistema di autorizzazione», l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. h) «Intranet», il sito interno dell ente raggiungibile solo attraverso la rete dati interna o attraverso accessi controllati dall esterno gestiti dal firewall, attraverso il quale vengono forniti servizi alle strutture dell ente Abbreviazioni Ai fini del presente documento se non diversamente esplicitato, si intenderà per; a) «dati», dati personali, identificativi, sensibili o giudiziari 1.3 Aspetti della Sicurezza nel trattamento di dati Il termine Sicurezza fa in realtà riferimento a diversi tipi di rischio a cui un sistema informativo è sottoposto. Alcuni aspetti riguardano le garanzie della conservazione dei dati e del ripristino delle 7

8 funzionalità dei sistemi a fronte di guasti od eventi fortuiti che possono verificarsi. A fianco di questi aspetti, i più tradizionali, altri hanno assunto sempre maggiore importanza e peso: i rischi di intromissione, appropriazione o manomissione di dati per azioni premeditate di dolo o danneggiamento. Il seguente elenco riepiloga la casistica dei fattori di rischio: 1. Guasti od eventi fortuiti che causino danni agli archivi e/o perdita di dati; 2. Guasti od eventi fortuiti che rendano non utilizzabili i sistemi preposti ad una data funzione; 3. Accesso fisico non autorizzato ai sistemi ed agli apparati di rete. 4. Accesso non autorizzato alle informazioni gestite all'interno di un sistema informatico; 5. Accesso alla rete ed ai sistemi informatici attraverso strumenti telematici; 6. Danni provocati da Virus. 7. Intercettazione delle informazioni trasmesse attraverso reti telematiche. 8. Accesso ai dati personali contenuti in archivi cartacei o comunque non automatizzati. Nel seguito i diversi aspetti saranno esaminati, partendo dalla situazione attuale, con la definizione delle misure di sicurezza attuali e le linee di intervento previste. È importante tenere conto che per innalzare il livello di sicurezza (sia informatica che non) è necessario un impegno di risorse sia professionali che tecnologiche, proporzionale al risultato atteso. Impegno di risorse che viene ormai considerato strategico e fondamentale, da tempo nell azienda privata e più recentemente anche nell ambito della Pubblica Amministrazione. 8

9 2 Distribuzione dei compiti e delle responsabilità 2.1 Generalità Con deliberazione di Consiglio Provinciale n 69 del 21/03/2001 l ente ha individuato nei Dirigenti delle strutture preposte al trattamento dei dati, i responsabili degli stessi. Con Determinazione Presidenziale n 9 del 2/2/2009 è stata affidata al Segretario Generale, Direttore Generale, Dr.Antonio Le Donne, la titolarità delle banche dati gestite dall ente ai sensi del D.Lgs.196/03. I Dirigenti delle strutture preposte al trattamento dei dati hanno individuato le U.O. o strutture a cui afferiscono per competenza gli ambiti del trattamento dei dati attribuiti. I Dirigenti provvedono, ad ogni cambiamento organizzativo, all individuazione dell unità e degli addetti alla stessa. Gli incaricati ai trattamenti svolgono la loro attività secondo le istruzioni impartite dai rispettivi Dirigenti. L ente dovrà prevedere nel proprio piano di formazione interna, specifici corsi destinati ai responsabili ed agli incaricati dei trattamenti. 2.2 Distribuzione territoriale delle sedi dell ente La Provincia di Lucca è dotata di molte sedi sparse sul territorio provinciale. Oltre alla sede principale di Palazzo Ducale nel centro di Lucca, che ospita molti servizi e uffici, vi sono la sede di via Barsanti e Matteucci che ospita i Servizi Agricoltura, Caccia e Pesca, Sviluppo Economico, Turismo, la sede di San Vito che ospita il Servizio Mercato del Lavoro, il Centro per l Impiego di Lucca, il Servizio Formazione Professionale, la sede di via della Quarquonia che ospita il Servizio Difesa del Suolo, la Stazione Ferroviaria di Ponte a Moriano che ospita gli uffici della Polizia Provinciale, i Centri per l Impiego di Viareggio, Fornaci di Barga e Castelnuovo, la sede territoriale della Formazione Professionale a Viareggio oltre a uffici di diversi servizi collocati presso la Stazione di Castelnuovo di Garfagnana. Presso ciascuna di queste sedi vengono quindi trattati dati di tipo diverso e devono essere individuati, se del caso, i relativi responsabili della sicurezza fisica degli uffici. Tutte queste sedi sono collegate con una rete privata virtuale alla sede principale. Alcune di queste sono dotate di server decentrati che effettuano backup locali dei dati trattati. Per quanto i server possano essere gestiti centralmente ed i backup monitorati dalla sede centrale, per ciascuna situazione deve essere individuato un responsabile per la sostituzione dei nastri di backup la dove non si sia già passati alla tecnologia di dischi esterni USB o di rete. 9

10 3 Situazione attuale e linee di Intervento 3.1 Sicurezza rispetto alla possibilità di danni ai locali, agli archivi e/o perdita dei dati Aspetti generali La sicurezza, nella sua accezione più generale, deve comprendere anche la sicurezza dei locali all interno dei quali sono conservati i dati e gli archivi. Si tratta quindi di prendere in considerazione possibili rischi collegati a calamità naturali, agli incendi, ai danni provocati da comportamenti dolosi, per capire quali potrebbero essere le migliori politiche di sicurezza per la protezione verso questa tipologia di rischi. In particolare, sia per quanto riguarda i sistemi informatici che per gli archivi cartacei, deve essere presa in considerazione la sicurezza dei locali che li ospitano verso i rischi collegati ad esempio ad incendi o inondazioni. Nel caso di dati conservati in formato elettronico, è necessario provvedere al loro salvataggio con politiche di backup che dipendono dalla tipologia e dall importanza del dato Situazione attuale. L ente è dotato di dispositivi antincendio ai sensi del D.Lgs 626/94 e di un sistema di rilevazione dei fumi all interno degli uffici posti a Palazzo Ducale. Gli archivi cartacei si trovano all interno di locali non soggetti a rischio inondazione in quanto posti al di sopra del piano stradale. Esiste un sistema di video-sorveglianza all interno di Palazzo Ducale che allo stato attuale non registra le immagini e non può quindi essere utilizzato per individuare accessi illeciti a posteriori. La distribuzione degli applicativi e delle banche dati su diversi sistemi ha portato ad una frammentazione dei criteri di salvataggio delle applicazioni. Per quanto riguarda le applicazioni su sistemi server, esistono già soluzioni differenziate: - per i sistemi gestiti direttamente dalla U.O.C. Sistemi Informativi, i salvataggi vengono effettuati dal personale interno, con politiche di backup giornaliere, settimanali e/o mensili prestabilite a seconda dei dati trattati; - per i server installati in sedi diverse o presso altri dipartimenti, i salvataggi vengono di norma gestiti dal personale del settore che utilizza il sistema, secondo criteri concordati tra il personale dell Ufficio Sistemi Informativi, gli utenti ed eventualmente il fornitore del software. I server delle sedi periferiche dei Centri per l Impiego e quello della sede di Lucca che condivide le risorse hardware con il servizio Formazione Professionale, ed il server presente nella sede di via Barsanti & Matteucci sono stati dotati di sistema di backup a disco invece del tradizionale nastro (hard disk esterni) che offre costi di gestione e velocità di ripristino decisamente migliori. Per aumentare ulteriormente la velocità nel recupero dei dati sono state abilitate su tutti i server Windows le cosiddette shadow copy che consentono fotografare tutti i file che hanno subito una modifica rispetto alla fotografia precedente, in un arco temporale. Le shadow copy vengono eseguite due volte al giorno. Questo sistema consente di recuperare una copia di un file erroneamente modificato o addirittura cancellato senza fare ricorso ai nastri di backup 10

11 rendendo l operazione molto più veloce e delegando ai nastri solo la gestione del disaster recovery. - Per quanto riguarda i dati degli utenti che si collegano ad un dominio interno, i dati risiedono in realtà sui server e vengono quindi salvati secondo le politiche sopra indicate. Per le applicazioni ed i dati presenti sui diversi personal computer, i salvataggi sono demandati agli utenti. Considerata la complessità dei diversi sistemi gestiti dall U.O.C.Sistemi Informativi, si è ritenuto necessario definire un quadro complessivo esatto delle modalità di salvataggio e di conservazione delle copie, tenendo conto che la normativa oltre ai criteri di sicurezza impone ormai di riportare questi aspetti ad una gestione organizzata e documentata. Per questo motivo è stato preparato il documento Politiche di backup della Provincia di Lucca che costituisce l Allegato 1 al presente documento e che viene mantenuto aggiornato ad ogni cambiamento dei sistemi interni Linee di intervento. L'alluvione del dicembre 2009 ha messo in risalto la pericolosità connessa allo stoccaggio di documenti e/o archivi in siti non idonei o soggetti ad esondazioni. Sarà pertanto opportuno verificare puntualmente che tutti gli archivi di deposito contenenti i documenti dell ente, si trovino in zone non soggette a tali pericoli. Il percorso verso questo obiettivo passa sicuramente attraverso una fase di ricognizione e verifica puntuale della situazione, partendo dall elenco dei dati trattati dall ente per poi individuare le zone eventualmente scoperte e/o migliorabili e procedere alla realizzazione della soluzione adeguata. L'utilizzo dell'informatica personale ha poi posto un nuovo aspetto, quello del salvataggio dei dati prodotti direttamente dall'utente con strumenti di automazione d'ufficio (per la maggior parte documenti, ma talvolta anche veri e propri archivi) e della sua posta elettronica. Questo aspetto appare oggi inevitabilmente affidato all'utilizzatore del posto di lavoro. Se il problema del salvataggio dei documenti di office è risolvibile con l utilizzo di File Server dipartimentali, il problema del salvataggio della posta elettronica non è altrettanto semplice. Nel corso dell anno dovranno essere pertanto valutate diverse soluzioni per porre rimedio a questo problema che sta diventando sempre più strategico. L'aspetto deve essere migliorato attraverso diverse attività in parte già attuate o avviate, che possono essere percorse parallelamente: 1. Integrazione della gestione dei documenti in applicazioni basate su database (deliberazioni, determinazioni, pratiche, cedolini, cartellini, etc.), che consentono l'archiviazione organizzata di una gamma di documenti importante per quantità e qualità; 2. Utilizzo di server dipartimentali per il controllo dell accesso degli utenti alla rete interna dell ente, per il salvataggio dei dati degli utenti e per l'organizzazione dei gruppi di lavoro. L utilizzo di questi file server è utile anche per semplificare la manutenzione dei Personal Computer rendendo molto più semplice la loro sostituzione; 3. Utilizzo di un servizio di posta elettronica con protocollo IMAP e con caratteristiche adeguate a mantenere tutta la posta elettronica dell ente in linea consultabile via web in modo da eliminare anche l ultima banca dati importante ancora sicuramente collegata alla postazione di lavoro. Nel corso del 2007 l ente si è dotato di una cassaforte ignifuga che contiene i nastri dei server ospitati in sala macchine con l esclusione di quelli delle due unità di backup multinastro che non possono essere sostituiti quotidianamente. La cassaforte è posizionata in una stanza diversa 11

12 rispetto alla sala macchine così da avere maggiori probabilità di resistere ad un eventuale danno che la dovesse colpire. La chiave della cassaforte è conservata presso i locali dell Ufficio Sistemi Informativi. Le password dei sistemi server, di rete, delle banche dati e delle applicazioni, sono conservate in un apposita banca dati protetta da password, su un server dell ente e salvata quotidianamente Misure minime di sicurezza Tutte le banche dati informatizzate ed i documenti elettronici contenenti dati personali, sensibili o giudiziari riportate nei trattamenti segnalati nell allegato alla Delibera C.P. 139/A del 21/12/2006, devono essere salvati su sistemi server. Per garantire la conservazione dei dati l addetto al trattamento delle informazioni ovvero l Amministratore di Sistema o suo incaricato, procederà all effettuazione periodica di copie di sicurezza al fine di evitare perdite anche involontarie per guasti o manovre errate. Le copie di sicurezza effettuate su supporti rimovibili dovranno essere conservate con cura all interno di contenitori muniti di serratura ed i supporti utilizzati, dischetti, nastri, CD, DVD, ecc. dovranno essere rinnovati periodicamente per garantirne l'affidabilità. I supporti utilizzati per la memorizzazione di dati sensibili potranno essere riutilizzati a patto che il contenuto possa essere definitivamente cancellato, altrimenti dovranno essere distrutti. 3.2 Sicurezza rispetto alla possibilità di interruzione del funzionamento delle apparecchiature Aspetti generali L'aspetto è, per quanto possa suonare inconsueto, il meno critico rispetto a quelli elencati. Non si tratta infatti di perdita di informazione, ma di interruzione della sua fruibilità. Questo può comportare disservizi e rallentamento dell'operatività degli uffici, ma almeno nel breve periodo non prefigura situazioni di crisi. È comunque opportuna, anche in questo caso, un analisi della situazione nel suo complesso radicalmente modificata negli ultimi anni soprattutto da quando la Provincia di Lucca eroga servizi di sportello ai cittadini come quelli forniti attraverso i Centri per l Impiego Situazione Attuale Tutti i sistemi server e le parti attive dell infrastruttura di rete dati, sono protetti da gruppi di continuità. È da evidenziare comunque che il gruppo di continuità protegge i dispositivi collegati e consente uno spegnimento controllato delle apparecchiature ed un rapido riavvio delle attività al ripristino dell alimentazione elettrica, ma non consente comunque l erogazione dei servizi, salvo che i singoli posti di lavoro non siano a loro volta attrezzati con gruppi di continuità (ipotesi attualmente percorsa per servizi di sportello particolarmente critici come il protocollo ed i Centri per l'impiego) che comunque possono risolvere il problema per un periodo limitato di tempo. Tutti i server attualmente in funzione dispongono di una funzione di mirroring dei dischi gestita via software o via hardware (RAID), che consente di non interrompere il lavoro anche nel caso di rottura di uno degli hard disk. Nel corso del 2005 l ente si è dotato di un generatore elettrico in grado di fornire corrente alle sale della Protezione Civile. La linea elettrica che alimenta la Sala Macchine è collegata a quella proveniente dal generatore elettrogeno. In caso di mancanza di corrente quindi, i gruppi di continuità forniscono l alimentazione alle attrezzature informatiche per il periodo necessario all avvio del generatore. 12

13 Al fine di garantire continuità di servizio per i principali Sistemi Informativi dell ente, i dati dei due DB server presenti, vengono incrociati in fase notturna in modo che, in caso di indisponibilità di uno dei due server, l altro lo può sostituire operativamente in poco tempo con i dati aggiornati però alla sera precedente. Nel corso del 2009 l ente si è dotato di una coppia di server, di una Storage Area Network (SAN) e di una infrastruttura software per la virtualizzazione. Con questo sistema le due macchine fisiche ospitano diversi server virtuali che gestiscono i principali sistemi informativi dell ente. Le immagini delle macchine virtuali sono ospitate sulla SAN collegata con sistemi in fibra ottica ridondata ai server. In caso di fermo di una delle macchine fisiche, le macchine virtuali ivi ospitate ripartirebbero automaticamente sull altro server fisico riducendo moltissimo il fermo macchina ed i relativi disservizi Linee di intervento. I passi operativi sono: 1. Analisi del livello di criticità delle diverse attrezzature per le attività dell'ente; 2. Verifica/individuazione degli accorgimenti atti a garantire la continuità del servizio, anche in caso di problemi tecnici. Gli accorgimenti tecnici da prendere in considerazione sono: a. Gruppo di continuità (livello base); b. Ridondanza di componenti/funzioni (mirroring; hot swap, ridondanza fisica,...) c. Disponibilità di sistemi "di backup", in grado di sostituire le funzioni di quelli eventualmente guasti. d. Virtualizzazione dei server critici e separazione fisica tra server applicativi e dati, al fine di ottenere un sistema in grado di garantire l alta affidabilità. Già tutti i sistemi server sono dotati di sistemi di sicurezza di livello base ed in buona parte anche di funzioni e componenti ridondanti. Soluzioni di livello superiore possono essere pianificate, eventualmente, in occasione di upgrade di sistemi, salvo diverse esigenze specifiche che dovessero emergere dall'analisi. Un anello debole delle infrastrutture tecnologiche è rappresentato dalle infrastrutture di rete locale LAN e WAN (switch, router, canali di collegamento etc.). Con l aumento dei servizi erogati in modo telematico e centralizzato, l infrastruttura di comunicazione sta diventando sempre più una funzione realmente "mission critical" per l'ente. In particolare per i Centri per l Impiego è stato realizzato un sistema di backup basato su linee ADSL in modo da garantire la connettività anche quando le linee principali HDSL non dovessero funzionare. Per gli uffici di Lucca è stata inoltre realizzata una rete WiFi Mesh che collega i 4 edifici della città di Lucca, creando un ulteriore canale di distribuzione dati Misure minime di sicurezza Tutti i sistemi informatici di tipo server dedicati al trattamento di dati personali, sensibili o giudiziari riportati nei trattamenti segnalati nell allegato alla Delibera C.P. 139/A del 21/12/2006, dovranno prevedere sistemi di alimentazione, disco e rete ridondanti, oltre a gruppi di continuità che consentano quantomeno uno spegnimento corretto del sistema. 13

14 3.3 Sicurezza rispetto alla possibilità di accesso fisico ai locali, ai sistemi ed agli apparati di rete Aspetti generali La sicurezza, nella sua accezione più generale, deve comprendere anche la sicurezza rispetto all accesso ai locali all interno dei quali vengono svolte le attività lavorative e dove vengono conservati archivi e documenti. Si tratta quindi di prendere in considerazione possibili rischi collegati ad accessi non autorizzati agli uffici, per capire quali potrebbero essere le migliori politiche di sicurezza verso questa tipologia di rischi. In particolare, per quanto riguarda i sistemi informatici, deve essere presa in considerazione la sicurezza dei locali che ospitano gli elaboratori centrali dell ente oltre alle risorse distribuite, come gli armadi di rete e le postazioni di lavoro attraverso le quali è possibile accedere a banche dati contenenti dati personali, sensibili o giudiziari Situazione attuale. Esiste un sistema di video-sorveglianza all interno di Palazzo Ducale che allo stato attuale non registra le immagini e non può quindi essere utilizzato per individuare accessi illeciti a posteriori. Per quanto riguarda la sicurezza rispetto alla possibilità di accesso non autorizzato ai dispositivi informatici è meglio distinguere 4 aree diverse Sala Macchine; La stanza definita Sala Macchine contiene tutti i server presenti a Palazzo Ducale oltre ai sistemi di collegamento verso Internet e verso le sedi periferiche. Si trova attualmente in una stanza situata al primo piano mezzanino, dotata di chiave, accessibile solo dai locali dell Ufficio Sistemi Informativi, ed appositamente condizionata. Le chiavi sono conservate nei locali dell ufficio a disposizione dei dipendenti per le eventuali necessità Server; La maggior parte dei server dell ente si trovano all interno della Sala Macchine e per loro valgono quindi le considerazioni già fatte. Per gli altri server la criticità sta nel fatto che questi sistemi, distribuiti in alcuni Servizi dell Ente, sono spesso collocati in base a criteri logistici più che di sicurezza. Tuttavia nella maggior parte dei casi, è garantita la soglia minima di sicurezza Personal Computer / Posti di lavoro; Le misure di sicurezza possono solo essere quelle definite per l accesso all ufficio. L analisi del rischio e le conseguenti misure di sicurezza, in relazione alla tipologia delle informazioni trattate e conservate sui P.C. di un ufficio, dovrà essere curata dal responsabile dell ufficio stesso: l analogia tra quanto conservato in un armadio (eventualmente protetto da serratura) e quanto conservato in un P.C. (eventualmente protetto da password) è abbastanza evidente. Così come non devono essere lasciati fascicoli riservati sulla scrivania quando ci si allontana, analogamente è necessario bloccare il PC in modo che per qualsiasi operazione vengano richieste le credenziali Armadi di distribuzione dati Gli armadi di distribuzione dati disposti presso i vari uffici dell ente, si trovano in alcuni casi in locali accessibili al pubblico ma sono comunque tutti dotati di serratura. Copie delle chiavi sono conservate presso l Ufficio Sistemi Informativi. 14

15 3.3.3 Linee di intervento. Per quanto riguarda i Server, una linea di intervento a medio termine è quella di limitare la crescita del numero dei server distribuiti nelle diverse sedi, concentrandone le funzioni in un insieme ristretto di sistemi, adeguati per potenza e capacità, posizionandoli in una collocazione sicura. Tale attività, già iniziata nel 2007 con la virtualizzazione di 4 server, è proseguita poi nel corso del 2008 e nel 2009 con il raddoppio dei server virtualizzati, con ottimi risultati anche in termini di performance. Per quanto riguarda il controllo degli accessi va portato a termine il progetto di videosorveglianza di Palazzo Ducale, con la messa in opera delle diverse telecamere installate che offrono sicuramente anche una funzione deterrente verso furti e/o accessi indebiti Misure minime di sicurezza I server dovranno essere posizionati in locali non accessibili al pubblico e dovranno essere lasciati attivi sulla maschera di Login quando non utilizzati per attività sistemistiche. Per quanto riguarda i server e le attrezzature site nella Sala Macchine o negli uffici dei Sistemi Informativi, le password relative agli utenti di amministrazione di tali macchine, saranno memorizzate in un apposito programma di gestione delle password. Gli archivi cartacei contenenti dati personali, sensibili o giudiziari, dovranno essere collocati all interno degli uffici utilizzati per le attività lavorative e chiusi a chiave al di fuori del normale orario di lavoro oppure in appositi locali chiusi a chiave. Le chiavi saranno custodite dal responsabile o dagli incaricati dei trattamenti. 3.4 Sicurezza rispetto agli accessi non autorizzati ai sistemi ed alle informazioni Aspetti generali Il problema dell'accesso non autorizzato ai sistemi informatici è collegato alle credenziali di autenticazione ed ai profili di autorizzazione. Attraverso le credenziali di autenticazione si individua chi si sta collegando al sistema. I profili di autorizzazione definiscono invece le diverse autorizzazioni associate agli utenti. Ciascun utente dovrebbe essere collegato ad un unica credenziale di autenticazione alla quale vengono collegati i diversi profili di autorizzazione. In realtà ogni Sistema Informativo definisce delle proprie credenziali di autenticazione ed al suo interno i profili di autenticazione. Per semplificare la trattazione dell argomento ed anche per maggiore chiarezza, è necessario distinguere tra controllo a livello sistemistico e controllo a livello applicativo: il livello sistemistico riguarda le autorizzazioni per l accesso al Personal Computer (nome utente e password) o al dominio di autenticazione (utente, password e dominio) e conseguentemente alle risorse condivise sulla rete locale; il livello applicativo è invece un controllo che ciascuna applicazione o sistema informativo realizza per verificare chi accede all applicazione. In entrambi i casi si tratta comunque di un controllo che associa ad una credenziale di autenticazione uno o più profili di autorizzazione. 15

16 Le credenziali possono essere relativamente banali come nome utente e password ovvero più difficili da forzare come quelle costituite da certificati digitali o sistemi biometrici. La sicurezza in questo ambito è quindi collegata da un lato alla protezione delle credenziali di autenticazione in possesso dei singoli utenti e dall altro alla corretta gestione dei profili di autorizzazione dei diversi Sistemi Informativi Situazione attuale La quasi totalità dei sistemi informativi utilizzati nell ente sfrutta come credenziali di autenticazione un nome utente e password. Gli standard interni utilizzati per la lunghezza della password già tengono in conto in generale della lunghezza minima della password pari ad 8 caratteri ma non sempre questo controllo è possibile a livello sistemistico o applicativo. Per tutti gli utenti che si collegano al dominio interno dell ente sono state definite delle verifiche sulle credenziali di autenticazione che impongono determinati livelli minimi sulla lunghezza del nome utente e password e di complessità della password stessa (caratteri speciali o numerici obbligatori). La password di dominio ha una validità massima di 3 mesi. Quasi tutti gli utenti dell ente sono ormai collegati al dominio INTRANET e pertanto i relativi accessi rispettano le specifiche richieste a livello di misure minime di sicurezza. Per la maggior parte dei Sistemi Informativi che non riescono ad utilizzare l autenticazione basata sul protocollo LDAP ovvero il sistema di credenziali utilizzato per l accesso al dominio interno, è necessario prevedere apposite istruzioni affinché gli operatori agiscano in modo autonomo per rispettare gli eventuali vincoli di legge riportati nella sezione Misure minime di sicurezza. L ente si è inoltre dotato ormai da diversi anni di una Intranet attraverso la quale è possibile accedere direttamente ad alcuni sistemi informativi o comunque a informazioni private dei singoli dipendenti. Anche nel caso dell accesso al Portale del dipendente la password scade ogni 3 mesi e la sua lunghezza minima è pari ad 8 caratteri Linee di intervento. Risulta opportuna un opera di istruzione e sensibilizzazione relativamente alla gestione delle proprie credenziali di autenticazione per i diversi sistemi di autenticazione. Per l'identificazione degli utenti e la loro abilitazione, il miglioramento qualitativo può discendere dall'utilizzo di un sistema centralizzato che, a seguito di una identificazione dell'utente, consenta l'accesso a tutti i servizi e le funzioni a cui tale utente è abilitato. La Provincia di Lucca ha scelto di affidare la gestione dei propri utenti a livello informatico all infrastruttura di servizi denominata Microsoft Active Directory. Tale infrastruttura è compatibile con il protocollo LDAP (Lightweight Directory Access Protocoll) utilizzato da altri sistemi ed applicazioni per effettuare il controllo delle credenziali. Tale compatibilità dovrà pertanto essere tenuta in considerazione nella scelta di nuovi sistemi informativi o nell evoluzione di quelli esistenti, nell ottica di accentrare ad una unica credenziale il controllo dell accesso degli utenti, così come è stato fatto ad esempio per il software di Gestione degli Obiettivi e nel nuovo software di Gestione Documentale, di recente acquisizione. Un ulteriore campo di intervento riguarda il collegamento del Portale del dipendente sviluppato internamente con il protocollo di autenticazione LDAP così da concentrare in un unico servizio la verifica delle credenziali per l accesso ai diversi servizi. 16

17 3.4.4 Misure minime di sicurezza Le credenziali di autenticazione (utente e password) sia sistemistiche che applicative devono essere composte da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo consenta, dal numero massimo di caratteri consentito dal sistema. La password non deve contenere riferimenti agevolmente riconducibili all utente e deve essere modificata ogni 3 mesi. 3.5 Sicurezza rispetto alla possibilità di accesso alla rete ed ai sistemi per via telematica Aspetti generali Il problema è, dagli anni ottanta, di rilevanza generale per i sistemi informativi complessi. Questi sono infatti costituiti da sistemi collegati in rete tra loro, e come tali necessariamente predisposti alla comunicazione ed alla interazione. Con l'apertura delle reti informatiche interne verso le reti geografiche ed in particolare alla rete Internet, questa predisposizione si è rivelata un punto debole per la sicurezza. Infatti soggetti esterni possono utilizzare le funzioni di comunicazione dei sistemi in rete per collegarsi ai server interni utilizzando eventuali falle dei sistemi operativi, e da qui procedere ad accessi ai dati, manomissione delle informazioni od anche atti di vandalismo informatico. In realtà quello che a cose normali rappresenta un pericolo, in altri casi si tratta di una importante opportunità da sfruttare per accelerare gli interventi di assistenza. Esistono infatti software che consentono di prendere il controllo di una macchina da remoto, appositamente realizzati per effettuare teleassistenza o telecontrollo Situazione attuale Nel corso degli ultimi anni, l ente si è dotato di una Rete Privata Virtuale (nel seguito per brevità VPN) che collega quasi tutte le sedi periferiche dell ente con la sede principale di Palazzo Ducale. La navigazione su Internet avviene attraverso un unico collegamento centralizzato utilizzato da tutti gli uffici dell ente e protetto da un firewall che isola la rete interna e la relativa VPN dal mondo Internet e da una zona, definita DMZ (DeMilitarized Zone), che ospita alcuni servizi Web accessibili anche dall esterno. I server presenti sulla rete interna non sono accessibili direttamente dall esterno e solo in pochi casi e con regole ben precise, viene dato l accesso ad un PC interno per servizi di teleassistenza da parte di specifici fornitori e comunque limitatamente a specifici indirizzi IP di provenienza. Il Firewall consente di controllare i protocolli e le porte utilizzati dagli utenti per la navigazione. Allo stato attuale sono state lasciate aperte sostanzialmente le porte collegate alla navigazione delle pagine WEB e all utilizzo della posta. La navigazione verso Internet può essere mediata da un proxy che accelera la navigazione stessa e la rende più sicura, bloccando siti e protocolli considerati non sicuri. Per l accesso dall esterno verso la rete interna, è stato predisposto nel corso del 2007 un server OpenVPN, ovvero un PC con sistema operativo Linux, virtualizzato nel corso del 2008, sul quale è stato installato un software Open Source che consente di instaurare un canale di comunicazione sicuro e criptato tra le postazioni esterne sulla rete Internet e la rete interna. Su tutte le postazioni dell ente è installato un software Open Source denominato VNC che consente, se lanciato sul PC che richiede assistenza, di prendere il controllo di quel PC da una postazione remota in ogni caso dopo la digitazione di una password nota ai dipendenti dell Ufficio Sistemi Informativi. Questa possibilità se da un lato risulta estremamente utile per gli interventi di teleassistenza, dall altra pone problemi di privacy e riservatezza. Per questo motivo il software per 17

18 la teleassistenza non parte in modo automatico all avvio del PC ma deve essere lanciato manualmente dall utente Linee di intervento Vista la sempre crescente necessità di Banda per il collegamento sia delle sedi periferiche verso quella centrale, sia verso Internet, è probabile che si modificheranno i contratti per l adeguamento delle VPN in essere. Restano comunque imprescindibili le questioni legate alla sicurezza ed in particolare alle intercettazioni. Per questo motivo, soluzioni di questo tipo dovranno comunque prevedere la possibilità di criptare i dati trasmessi per evitare intercettazioni. Nel corso dell anno dovrà essere estesa anche alle postazioni di Palazzo Ducale l obbligatorietà all utilizzo del server proxy, già in essere presso le sedi decentrate, per la navigazione su Internet, al fine di aumentare il livello di sicurezza interno Misure minime di sicurezza È vietato l uso di modem per il collegamento ad Internet da parte di postazioni collegate alla rete locale della Provincia di Lucca. La rete interna dell ente e quella esterna devono sempre essere separate da un firewall. Sulla DMZ possono essere ospitati siti e front-end applicativi ma le banche dati, se ospitano dati sensibili o giudiziari, devono trovarsi nella rete interna dell ente. Al termine di una sessione di teleassistenza realizzata mediante l apposito software VNC, l utente richiedente deve terminare l applicazione server in modo da evitare che altri utenti possano collegarsi al suo PC senza autorizzazione. 3.6 Sicurezza rispetto alla diffusione di virus informatici ed aggiornamenti dei programmi applicativi e dei sistemi operativi Aspetti generali Per virus si intende, in ambito informatico, un programma software, o comunque un insieme di istruzioni eseguibili da un elaboratore, che introdotto in un sistema (associato ad un supporto magnetico, ad un programma o anche ad un documento in formato elettronico) viene eseguito all insaputa dell utilizzatore. I possibili effetti sono molteplici dalla semplice propagazione, manifestazione, fino alla cancellazione di dati. I virus sono in realtà una categoria di malware ovvero software creati con il solo scopo di causare danni più o meno gravi al computer su cui vengono eseguiti. Tra le varie categorie di malware, vanno citati in particolare gli spyware (software creati per raccogliere informazioni sul sistema su cui sono installati), adware (esecuzioni di comandi lanciati da PC offuscati ), Trojoan horse (cavalli di troia per recuperare password al fine di entrare in sistemi protetti), keylogger (che catturano quanto digitato dall utente sulla tastiera e quindi anche password). Altri problemi di sicurezza sono invece intrinsecamente collegati a debolezze del sistema operativo utilizzato ovvero agli specifici software applicativi. Ad esempio Microsoft rilascia pacchetti cumulativi di aggiornamento per i propri sistemi operativi e per le proprie applicazioni. Anche le diverse distribuzioni del sistema operativo Linux prevedono la disponibilità degli aggiornamenti software sui siti dei rispettivi fornitori. 18

19 3.6.2 Situazione attuale. Negli ultimi anni l ente si è dotato di un sistema di gestione degli antivirus per PC e Server di tipo centralizzato. Da una consolle centrale è possibile monitorare lo stato di aggiornamento delle impronte virali installate sui PC dell ente e le infezioni presenti sui PC verificando l efficacia delle contromisure software. Il sistema centrale scarica ogni poche ore gli aggiornamenti delle impronte virali dal sito del fornitore. Le impronte ed i software aggiornati vengono automaticamente distribuiti sulla rete interna senza che venga richiesto alcun intervento da parte dell utente. Come ulteriore politica di controllo, settimanalmente l antivirus parte automaticamente su tutti i computer dell ente per una scansione completa dei sistemi. Presso l U.O.Sistemi Informativi è stato installato un server SUS (Software Update Services) che scarica gli aggiornamenti per i diversi sistemi informativi della Microsoft. Questi aggiornamenti sono poi resi disponibili agli utenti della rete interna in modo automatico per gli utenti che accedono al dominio interno ovvero a seguito dell installazione di un apposito programma nel caso degli altri PC. Dalla Intranet dell ente è possibile scaricare un software denominato Spyboot Search and destroy in grado di individuare alcuni tipi di spyware non intercettati dal sistema antivirus Linee di intervento. A livello di Antivirus, la soluzione adottata si è dimostrata sufficientemente efficace. Per il futuro potrebbe essere interessante valutare l estensione del software rendendolo in grado di controllare oltre ai virus, anche gli spyware ed in generale tutti i malaware Misure minime di sicurezza Tutti i computer dell ente devono essere dotati di software antivirus con gestione centralizzata o, nei pochi casi in cui ciò non è tecnicamente possibile, l antivirus deve essere mantenuto costantemente aggiornato da parte degli utenti. I sistemi operativi Windows, devono essere mantenuti aggiornati attraverso il SUS interno ovvero avvalendosi del medesimo strumento offerto dalla Microsoft attraverso il suo sito. 3.7 Sicurezza rispetto all'intercettazione delle informazioni trasmesse attraverso reti telematiche Aspetti generali Per quanto il fattore di rischio rispetto alle intercettazioni delle informazioni trasmesse attraverso reti telematiche sia per ora estremamente limitato, si è ritenuto opportuno citare comunque questo fattore di rischio, tenendo conto della prospettiva di un sempre maggiore utilizzo delle reti telematiche per lo scambio di informazioni. Il rischio di "intercettazioni telematiche" è peraltro ben considerato nelle tecnologie della sicurezza informatica. In considerazione di quanto sopra, ed in particolare degli sviluppi previsti per l interconnessione delle sedi periferiche, si terrà conto nei relativi progetti delle problematiche legate alla sicurezza. 19

20 3.7.2 Misure minime di sicurezza I dati sensibili potranno essere trasmessi per via telematica su rete pubblica solo se criptati. Anche eventuali reti private virtuali costituite con la tecnologia dei ponti radio, dovranno prevedere sistemi di criptazione per evitare che una eventuale intercettazione consenta di leggere i messaggi scambiati sulla rete. 3.8 Sicurezza rispetto al trattamento dei dati con strumenti cartacei o comunque non automatizzati Aspetti generali Il trattamento dei dati personali, sensibili o giudiziari avviene nella maggior parte dei casi tramite documenti cartacei e si riduce in generale alla gestione dei relativi archivi storici o degli atti connessi con la tenuta di archivi imposti dalle normative vigenti. Il concetto di sicurezza si esplica quindi nelle politiche di accesso agli archivi e nelle politiche di riservatezza della gestione dei flussi documentali. Le differenze sostanziali rispetto al trattamento dei dati con strumenti informatici sono due: il controllo sull accesso ai dati; il controllo sulle operazioni effettuate sui dati. Nel caso di archivio cartaceo l accesso ai dati è legato all accesso al locale, contenitore, mobile o cassaforte che contiene l archivio stesso. Non vi è la possibilità di controllare le operazioni che un soggetto può compiere una volta che è entrato in possesso dei dati (solo visione, istruttoria di una pratica, etc.). Per questo motivo è importante che gli archivi contenenti dati personali, sensibili o giudiziari vengano custoditi sotto chiave e che gli accessi siano consentiti ai soli incaricati al trattamento dei dati Misure minime di sicurezza Come nel caso del trattamento dei dati sensibili con strumenti automatizzati, anche le operazioni di trattamento dei dati cartacei e dei relativi flussi, devono essere gestite da soggetti esplicitamente incaricati a queste operazioni secondo quanto previsto dagli artt. 26, 27 e 28 dell Allegato B al D.Lgs. 196/03. Gli addetti al trattamento sono tenuti a conservare gli atti o i documenti in contenitori muniti di serratura durante il trattamento degli stessi. L accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. Le persone ammesse alla consultazione di detti archivi dopo l orario di chiusura dell ufficio, sono identificate e registrate. Il controllo sugli accessi agli archivi è demandato al responsabile o, in mancanza di questo, al titolare dell archivio stesso. 20

Documento programmatico sulla sicurezza

Documento programmatico sulla sicurezza Unità Operativa Complessa Sistemi Informativi Documento programmatico sulla sicurezza Ing. Paolo Bertamini Indice 1 PREMESSE.... 4 1.1 RICHIAMI NORMATIVI... 4 1.2 DEFINIZIONI... 5 1.2.1 DEFINIZIONI GENERALI...

Dettagli

PROCEDURA PRIVACY PER RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI

PROCEDURA PRIVACY PER RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI Pag. 1 di 11 PROCEDURA PRIVACY PER RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI REV. DATA REDATTO APPROVATO Rev. 2 aprile 2014 Dr. Egidio Sesti Referente Aziendale Privacy Dr. Vitaliano De Salazar Direttore

Dettagli

Liceo Scientifico Statale Leonardo. Regolamento per l utilizzo di telecamere nelle aree all aperto di pertinenza dell Istituto

Liceo Scientifico Statale Leonardo. Regolamento per l utilizzo di telecamere nelle aree all aperto di pertinenza dell Istituto Liceo Scientifico Statale Leonardo liceo artistico - liceo linguistico liceo scientifico delle scienze applicate Via F. Balestrieri, 6-25124 Brescia Regolamento per l utilizzo di telecamere nelle aree

Dettagli

Istruzioni Incaricati

Istruzioni Incaricati L articolo 30, comma 1 del d. lgs. 196/2003 (codice della privacy) prevede che le operazioni di trattamento dei dati personali possono essere svolte solo da incaricati, che operano sotto la diretta autorità

Dettagli

INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO 30 GIUGNO 2003 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO 30 GIUGNO 2003 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI 1 Informativa Privacy Fondazione Ettore Sansavini per Ricerca Scientifica Onlus INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO 30 GIUGNO 2003 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Dettagli

Regolamento per la videosorveglianza Titolare dei dati dott.ssa Giuseppina Presutto

Regolamento per la videosorveglianza Titolare dei dati dott.ssa Giuseppina Presutto Regolamento per la videosorveglianza Titolare dei dati dott.ssa Giuseppina Presutto INDICE Introduzione TITOLO I - Descrizione Art. 1. Definizioni specifiche Art. 2. Definizioni D.Lgs. n. 196/03 TITOLO

Dettagli

Jesolo Patrimonio S.r.l.

Jesolo Patrimonio S.r.l. Jesolo Patrimonio S.r.l. Regolamento per il riutilizzo e lo smaltimento di apparecchiature elettroniche e supporti di memorizzazione Titolo documento: Codice documento: Nome file: Stato documento: Versione:

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INDICE 1 OGGETTO... 2 2 DEFINIZIONI... 2 3 ORGANIZZAZIONE, COMPITI E RESPONSABILITA... 3 4 TRATTAMENTI EFFETTUATI... 4 4.1 TRATTAMENTI INTERNI... 4 4.2

Dettagli

COMUNE DI MANERBIO (Provincia di Brescia) REGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO

COMUNE DI MANERBIO (Provincia di Brescia) REGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNE DI MANERBIO (Provincia di Brescia) REGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO Approvato con deliberazione C.C. n. 17 del 07.06.2007 Comune

Dettagli

Riservatezza e protezione dei dati personali negli enti locali in relazione al codice Privacy: l esperienza del Comune di Treviglio

Riservatezza e protezione dei dati personali negli enti locali in relazione al codice Privacy: l esperienza del Comune di Treviglio Riservatezza e protezione dei dati personali negli enti locali in relazione al codice Privacy: l esperienza del Comune di Treviglio Ambito di applicazione e finalità Art. 1 (Diritto alla protezione dei

Dettagli

Piano per la sicurezza dei documenti informatici

Piano per la sicurezza dei documenti informatici Allegato 1 Piano per la sicurezza dei documenti informatici 1 Sommario 1 Aspetti generali...3 2 Analisi dei rischi...3 2.1 Misure di sicurezza... 4 3 Misure Fisiche...4 3.1 Controllo accessi... 4 3.2 Sistema

Dettagli

Normativa sulla privacy negli. USA: http://aspe.hhs.gov/admnsimp/pl104191.htm Italia: http://www.garanteprivacy.it/garante/doc.jsp?

Normativa sulla privacy negli. USA: http://aspe.hhs.gov/admnsimp/pl104191.htm Italia: http://www.garanteprivacy.it/garante/doc.jsp? Normativa sulla privacy negli USA e in Italia USA: http://aspe.hhs.gov/admnsimp/pl104191.htm Italia: http://www.garanteprivacy.it/garante/doc.jsp?id=1042761 Complementi di Informatica Medica 1. Anno Accademico

Dettagli

Strumenti digitali e privacy. Avv. Gloria Galli

Strumenti digitali e privacy. Avv. Gloria Galli Strumenti digitali e privacy Avv. Gloria Galli Codice in materia di protezione dei dati personali: Decreto legislativo n. 196 del 30/06/2003 Art. 4. Definizioni trattamento, qualunque operazione o complesso

Dettagli

REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO

REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO SOMMARIO: CAPO I PRINCIPI GENERALI Art. 1 - Finalità e definizioni Art. 2 - Ambito di applicazione Art. 3 -

Dettagli

ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI

ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI ALLEGATO 2 ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI Con questo documento si intende offrire: - una precisazione in ordine ai termini ed ai concetti più frequentemente richiamati dalla normativa

Dettagli

La tutela della Privacy. Annoiatore: Stefano Pelacchi

La tutela della Privacy. Annoiatore: Stefano Pelacchi La tutela della Privacy Annoiatore: Stefano Pelacchi 1 Appunti Le organizzazioni del volontariato possono assumere qualsiasi forma giuridica prevista dal Libro I del Codice Civile compatibile con il proprio

Dettagli

M inist e ro della Pubblica Istruz io n e

M inist e ro della Pubblica Istruz io n e Linee guida per il TRATTAMENTO E GESTIONE DEI DATI PERSONALI Articolo 1 Oggetto e ambito di applicazione e principi di carattere generale 1. Il presente documento disciplina le modalità di trattamento

Dettagli

COMUNE DI NERVIANO REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO

COMUNE DI NERVIANO REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNE DI NERVIANO REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO 1 INDICE CAPO I PRINCIPI GENERALI SOGGETTI RESPONSABILI Art. 1 Finalità e definizioni P.

Dettagli

ALLEGATO N. 4. Premessa

ALLEGATO N. 4. Premessa 1 ALLEGATO N. 4 PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Premessa Il presente piano di

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

UNIVERSITA DEGLI STUDI DI SASSARI I NORME COMPORTAMENTALI PER GLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI

UNIVERSITA DEGLI STUDI DI SASSARI I NORME COMPORTAMENTALI PER GLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI UNIVERSITA DEGLI STUDI DI SASSARI I DEL TRATTAMENTO DEI DATI PERSONALI Università - 2 - PREMESSA Scopo della presente procedura è illustrare le norme comportamentali/tecniche cui gli Incaricati devono

Dettagli

PRIVACY. Federica Savio M2 Informatica

PRIVACY. Federica Savio M2 Informatica PRIVACY Federica Savio M2 Informatica Adempimenti tecnici obbligatori e corretta salvaguardia dei dati e dei sistemi Normativa di riferimento - oggi D.LGS 196/2003 Codice in materia di protezione dei dati

Dettagli

U.O.C. FACILITY MANAGEMENT UFFICIO PRIVACY OGGETTO: Vademecum per gli Incaricati dei Trattamenti.

U.O.C. FACILITY MANAGEMENT UFFICIO PRIVACY OGGETTO: Vademecum per gli Incaricati dei Trattamenti. Servizio Sanitario Nazionale Regione Siciliana VIA MAZZINI, 1 91100 TRAPANI TEL.(0923) 805111 - FAX (0923) 873745 Codice Fiscale P. IVA 02363280815 U.O.C. FACILITY MANAGEMENT UFFICIO PRIVACY OGGETTO: Vademecum

Dettagli

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei In base al disciplinare tecnico in materia di misure di sicurezza

Dettagli

Regolamento per la Videosorveglianza

Regolamento per la Videosorveglianza Regolamento per la Videosorveglianza Art. 1 Il sistema di videosorveglianza è installato per le seguenti finalità: a. la sicurezza urbana, stradale e della circolazione e per le attività di polizia giudiziaria

Dettagli

Codice. in materia di. Protezione dei Dati Personali

Codice. in materia di. Protezione dei Dati Personali Codice in materia di Protezione dei Dati Personali (D.Lgs. 196/2003) ====================== Incontri Formativi con il Personale della Direzione Didattica del 7 Circolo Didattico G. Carducci di Livorno

Dettagli

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL AMMINISTRATORE DI SISTEMA E GLI ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY 1 ARTICOLO 1 - SCOPO DEL REGOLAMENTO Il presente

Dettagli

Infostar S.r.l. S.S.13 Pontebbana 54/e - 33017 - TARCENTO (UD) Tel: 0432783940 - Fax: 0432794695 p.iva 02125890307

Infostar S.r.l. S.S.13 Pontebbana 54/e - 33017 - TARCENTO (UD) Tel: 0432783940 - Fax: 0432794695 p.iva 02125890307 Data ultima modifica : 14/06/2006 10:49 DPSS Cod.Doc. 2140.20.0.168818 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Valido fino al 31 Marzo 2007. Documento riassuntivo delle misure di sicurezza per la Privacy

Dettagli

Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03)

Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03) Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03) A cura di Gianfranco Gargani A seguito delle diverse richieste degli iscritti

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

ALLEGATO N. 4. Premessa

ALLEGATO N. 4. Premessa 1 ALLEGATO N. 4 PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Premessa Il presente piano di

Dettagli

Comune di Cicciano (Provincia di Napoli) Regolamento per l utilizzo delle attrezzature informatiche comunali a disposizione dei dipendenti

Comune di Cicciano (Provincia di Napoli) Regolamento per l utilizzo delle attrezzature informatiche comunali a disposizione dei dipendenti Comune di Cicciano (Provincia di Napoli) Regolamento per l utilizzo delle attrezzature informatiche comunali a disposizione dei dipendenti Approvato con deliberazione commissariale n 38 del 11/04/2011

Dettagli

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 1 di 18 Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 2 di 18 SCOPO DEL (DPS) GR Elettronica S.r.l. (di seguito azienda),

Dettagli

Documento Programmatico sulla Sicurezza (D. Lgs. n. 196/2003 Codice in materia di Protezione dei Dati Personali )

Documento Programmatico sulla Sicurezza (D. Lgs. n. 196/2003 Codice in materia di Protezione dei Dati Personali ) Documento Programmatico sulla Sicurezza (D. Lgs. n. 196/2003 Codice in materia di Protezione dei Dati Personali ) DPS - Vers. 2.8 del 12/12/2014 pag. 1 di 10 1. Introduzione al Documento... 3 1.1 vità

Dettagli

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6 1 Generalità 1 2 Incaricati 3 3 all Amministrazione del Sistema 5 4 alla Custodia della Parole Chiave 6 5 al Salvataggio dei Dati 7 6 alla Custodia della Sede Operativa 8 A Elenco degli Incaricati 9 B

Dettagli

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009 Premessa Le informazioni di seguito riportate sono riferite a tutto ciò che attiene (dal punto di vista logistico, organizzativo

Dettagli

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEGLI STUDI LEGALI (DPS) Redatto ai sensi e per gli effetti dell art. 34, c. 1, lett. g) del D.Lgs 196/2003 e del

Dettagli

ORDINE DEGLI PSICOLOGI DELLA TOSCANA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA. (ai sensi dell allegato B, 19, d. lgs. 196/2003 e successive modifiche)

ORDINE DEGLI PSICOLOGI DELLA TOSCANA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA. (ai sensi dell allegato B, 19, d. lgs. 196/2003 e successive modifiche) ORDINE DEGLI PSICOLOGI DELLA TOSCANA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ai sensi dell allegato B, 19, d. lgs. 196/2003 e successive modifiche) approvato dal Consiglio dell Ordine degli Psicologi

Dettagli

Informativa sulla politica per la tutela della privacy attuata da Occhioviterbese

Informativa sulla politica per la tutela della privacy attuata da Occhioviterbese Informativa sulla politica per la tutela della privacy attuata da Occhioviterbese (Informativa ex articolo 13 del D.Lgs. 196/2003 - Codice in materia di protezione dei dati personali) Nella presente informativa

Dettagli

Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali

Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da

Dettagli

FONDAMENTI DI DIRITTO DELL INFORMATICA

FONDAMENTI DI DIRITTO DELL INFORMATICA MASSIMO FARINA 171 3. Le disposizioni generali: principi Il Codice della privacy si apre, all art. 1, con un chiaro principio Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Il

Dettagli

Documento unico. composto da numero di pagine. Si richiede l apposizione del timbro postale per la data certa. Data. Firma del Presidente

Documento unico. composto da numero di pagine. Si richiede l apposizione del timbro postale per la data certa. Data. Firma del Presidente Documento unico composto da numero di pagine Si richiede l apposizione del timbro postale per la data certa. Data Firma del Presidente PROCEDURA PER IL TRATTAMENTO DEI DATI PERSONALI E DOCUMENTO PROGRAMMATICO

Dettagli

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

Regolamento al trattamento dati per la piattaforma Sofia e Misure di Sicurezza adottate Regolamento al trattamento dati per la piattaforma "Sofia" e Pagina 1 di 10 INDICE 1. Definizioni 3 2. Individuazione dei tipi di dati e di operazioni eseguibili 4 3. Titolare del trattamento, oneri informativi

Dettagli

COMUNE DI MARCIGNAGO

COMUNE DI MARCIGNAGO COMUNE DI MARCIGNAGO PROVINCIA DI PAVIA REGOLAMENTO PER L UTILIZZO DEL SISTEMA DI VIDEOSORVEGLIANZA DEL COMUNE DI MARCIGNAGO Approvato con deliberazione del Consiglio Comunale n. 31 del 27.09.2011 SOMMARIO:

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

COMPENDIO DELLA NORMATIVA SULLA PRIVACY PER IL TRATTAMENTO DEI DATI PERSONALI DELL UNIVERSITÀ DEGLI STUDI DI PERUGIA

COMPENDIO DELLA NORMATIVA SULLA PRIVACY PER IL TRATTAMENTO DEI DATI PERSONALI DELL UNIVERSITÀ DEGLI STUDI DI PERUGIA Allegato 2) COMPENDIO DELLA NORMATIVA SULLA PRIVACY PER IL TRATTAMENTO DEI DATI PERSONALI DELL UNIVERSITÀ DEGLI STUDI DI PERUGIA PREMESSA La presente trattazione, che si colloca nell ambito delle attività

Dettagli

FORMAZIONE PRIVACY 2015

FORMAZIONE PRIVACY 2015 Intervento formativo per rendere edotti gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle relative misure di sicurezza ai sensi dell art. 130 del D.Lgs. 196/2003

Dettagli

T.U. d.lgs. 30 giugno 2003 n. 196 (già legge 31 dicembre 1996 n. 675)

T.U. d.lgs. 30 giugno 2003 n. 196 (già legge 31 dicembre 1996 n. 675) T.U. d.lgs. 30 giugno 2003 n. 196 (già legge 31 dicembre 1996 n. 675) La Legge disciplina il trattamento di dati con o senza l'ausilio di mezzi elettronici o comunque automatizzati proponiamo uno schema

Dettagli

COMUNE DI PIANORO REGOLAMENTO COMUNALE SULLA VIDEOSORVEGLIANZA

COMUNE DI PIANORO REGOLAMENTO COMUNALE SULLA VIDEOSORVEGLIANZA COMUNE DI PIANORO REGOLAMENTO COMUNALE SULLA VIDEOSORVEGLIANZA Approvato con deliberazione del Consiglio Comunale n. 4 del 6.2.2008 INDICE Art. 1 - Premessa Art. 2 - Principi generali Art. 3 - Definizioni

Dettagli

Scheda Rilevazione - Sistema PRIVACY

Scheda Rilevazione - Sistema PRIVACY Questo documento e le informazioni che andrete ad inserire, verranno utilizzate a riferimento della proposta contrattuale PERSONALIZZATA che andremo a redigere per consentirvi di adeguare la struttura

Dettagli

Università degli Studi di Udine. DLGS 196/03 Gestione posto di lavoro e accesso alla struttura

Università degli Studi di Udine. DLGS 196/03 Gestione posto di lavoro e accesso alla struttura DLGS 196/03 Gestione posto di lavoro e Sommario Scopo... 3 Accesso alle aree di trattamento di dati personali... 3 Gestione e utilizzo del posto di lavoro e dei luoghi di archiviazione... 3 Particolarità

Dettagli

Manuale Operativo per la Protezione dei Dati Personali

Manuale Operativo per la Protezione dei Dati Personali UNITN 18/02/2015 0003486 I - Allegato Utente 1 (A01) Direzione Sistemi Informativi Manuale Operativo per la Protezione dei Dati Personali Versione 1.0 14/12/2014 TUTTI I DIRITTI SONO RISERVATI - Questo

Dettagli

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Manuale Informativo Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali INDEX Il D.Lgs. 196/2003 Termini e Fondamenti Gli attori Organizzazione e Responsabilità

Dettagli

COMUNE DI MARCON Provincia di Venezia

COMUNE DI MARCON Provincia di Venezia COMUNE DI MARCON Provincia di Venezia REGOLAMENTO PER L UTILIZZO DEGLI STRUMENTI INFORMATICI E DI INTERNET ( Norme di sicurezza conformi alla normativa vigente in tema di trattamento dei dati personali,

Dettagli

Privacy. Argomenti della presentazione 9MARZO 2006. genesys software srl

Privacy. Argomenti della presentazione 9MARZO 2006. genesys software srl genesys software srl SISTEMI INFORMATIVI Via Rodolfo Redi, 3-70124 BARI Tel. 080/561.90.01 Fax 080/561.43.91 E-mail: genesys@genesysnet.it 9MARZO 2006 Privacy Argomenti della presentazione 1 PRIVACY IL

Dettagli

Art.1 (Oggetto) Art.2 (Definizioni)

Art.1 (Oggetto) Art.2 (Definizioni) REGOLAMENTO SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI emanato con decreto direttoriale n.220 dell'8 giugno 2000 pubblicato all'albo Ufficiale della Scuola

Dettagli

REGOLAMENTO PER L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE

REGOLAMENTO PER L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE COMUNE DI GENONI PROVINCIA DI ORISTANO REGOLAMENTO PER L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE APPROVATO CON DELIBERAZIONE DI CONSIGLIO COMUNALE N. 32 DEL 27 Settembre 2012

Dettagli

Mansionario del trattamento dei dati

Mansionario del trattamento dei dati Allegato 9 Mansionario del trattamento dei dati CRITERI GENERALI DI COMPORTAMENTO E NORME PROCEDURALI In questo documento si forniscono alcune regole sulle modalità più convenienti per l attuazione delle

Dettagli

COMUNE DI CASAZZA. Regolamento per l installazione e l utilizzo di impianti di videosorveglianza del territorio comunale

COMUNE DI CASAZZA. Regolamento per l installazione e l utilizzo di impianti di videosorveglianza del territorio comunale COMUNE DI CASAZZA Comune di Casazza Regolamento per l installazione e l utilizzo di impianti di videosorveglianza del territorio comunale in ottemperanza del D.Lgs. 196/2003 e s.m. Adottato con DCC n.

Dettagli

Legge sulla PRIVACY Dlgs 196/2003 INDICE

Legge sulla PRIVACY Dlgs 196/2003 INDICE Legge sulla PRIVACY Dlgs 196/2003 Dal 01.01.2004 e' entrato in vigore il DLgs 196 del 30.06.2003 cosiddetto Testo Unico sulla Privacy. Di seguito un breve riepilogo dei principali aspetti della norma che

Dettagli

MODELLO PER STUDI LEGALI DOCUMENTO PROGRAMMATICO DELLA SICUREZZA

MODELLO PER STUDI LEGALI DOCUMENTO PROGRAMMATICO DELLA SICUREZZA Version: 3.0 Revisioni successive di Date Dott. Filippo Pappalardo 20/05/2004 Document name: MODELLO PER STUDI LEGALI DOCUMENTO PROGRAMMATICO DELLA SICUREZZA ai sensi dell art. 34 lett. g) D. Lgs. 196/2003

Dettagli

DECRETO N. 8/2013 COMUNE DI SAN CANZIAN D ISONZO OGGETTO: SISTEMA DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNALE.

DECRETO N. 8/2013 COMUNE DI SAN CANZIAN D ISONZO OGGETTO: SISTEMA DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNALE. DECRETO N. 8/2013 COMUNE DI SAN CANZIAN D ISONZO OGGETTO: SISTEMA DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNALE. IL SINDACO Vista la deliberazione della Giunta Comunale n. 74 dd. 25.08.2010 con la quale

Dettagli

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità INDICE 1 Il nuovo Codice sulla privacy... 2 2 Ambito di applicazione... 2 3 Soggetti coinvolti dal trattamento

Dettagli

Questo regolamento ha per finalità di stabilire le norme per l accesso e l utilizzo dei seguenti servizi:

Questo regolamento ha per finalità di stabilire le norme per l accesso e l utilizzo dei seguenti servizi: 5(*2/$0(1723(5 / 87,/,==2'(,6(59,=,,1)250$7,&,$=,(1'$/, $SSURYDWRFRQGHOLEHUDQGHO $UW±2JJHWWR Questo regolamento ha per finalità di stabilire le norme per l accesso e l utilizzo dei seguenti servizi: 3RVWDHOHWWURQLFD

Dettagli

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3 Sezione A Dipartimento regionale del, dei Servizi Generali, di Quiescenza, Previdenza ed Assistenza del e uffici di diretta collaborazione dell Assessore ubicati in viale della Regione Siciliana n. 2226

Dettagli

COMUNE DI CARTURA Provincia di Padova Regolamento per la disciplina di accesso e riutilizzo delle banche dati

COMUNE DI CARTURA Provincia di Padova Regolamento per la disciplina di accesso e riutilizzo delle banche dati COMUNE DI CARTURA Provincia di Padova Regolamento per la disciplina di accesso e riutilizzo delle banche dati Versione 1.0.0 1 SOMMARIO 1 APPROVAZIONI...3 2 LISTA DI DISTRIBUZIONE...3 3 REVISIONI...3 4

Dettagli

REGOLAMENTO DELLE ATTREZZATURE INFORMATICHE E DEI SOFTWARE COMUNALI

REGOLAMENTO DELLE ATTREZZATURE INFORMATICHE E DEI SOFTWARE COMUNALI REGOLAMENTO DELLE ATTREZZATURE INFORMATICHE E DEI SOFTWARE COMUNALI Approvato con deliberazione del C.S. n.61 del 16.06.2009 Pagina 1 INDICE PREMESSA...3 ARTICOLO 1 - OGGETTO, FINALITA' E DEFINIZIONI DI

Dettagli

Il Trattamento dei dati personali

Il Trattamento dei dati personali Il Trattamento dei dati personali Obblighi e adempimenti del professionista dott. Francesco Loppini LA PRIVACY DAL PUNTO DI VISTA STORICO In Italia, a partire dal 1981, numerosi disegni di legge: Il progetto

Dettagli

Informazioni sul documento programmatico sulla sicurezza DPS Simone Zabberoni

Informazioni sul documento programmatico sulla sicurezza DPS Simone Zabberoni Informazioni sul documento programmatico sulla sicurezza DPS Simone Zabberoni Sicurezzainrete qualche dettaglio introduttivo http://www.sicurezzainrete.com/documento_programmatico_sulla_sicurezza.htm Le

Dettagli

LORO SEDI. OGGETTO: Misure minime di sicurezza previste dal D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali)

LORO SEDI. OGGETTO: Misure minime di sicurezza previste dal D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) Prot. n. 15546 Lecce, 24 giugno 2004 Ai Presidi di Facoltà Ai Direttori di Dipartimento e dei Centri con autonomia contabile e gestionale Ai Responsabili di Progetto Ai Direttori delle Scuole di Specializzazione

Dettagli

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura Corso 196/03 per i Responsabili e gli Incaricati del Trattamento Dati Percorso Formativo per l Incaricato del Trattamento Dati: Pre-requisiti: 1. Conoscenza dei dati trattati 2. Conoscenza degli strumenti

Dettagli

COMUNE DI ROBASSOMERO

COMUNE DI ROBASSOMERO COMUNE DI ROBASSOMERO PROVINCIA DI TORINO tel. 011 9234400 - Fax 011 9234422 E-mail: comune@comune.robassomero.to.it - www.comune.robassomero.to.it REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI

Dettagli

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA COMUNE DI SANT EGIDIO ALLA VIBRATA (Provincia di Teramo) Tel. 0861/846511 Fax 0861/840203 Part. IVA: 00196900674 e-mail: info@comune.santegidioallavibrata.te.it REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA

Dettagli

La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows. Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa.

La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows. Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa. La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa.it Legge 196/03: principi base E il D.Lgs. n 196 del 30 giugno

Dettagli

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda open > PRIVACY.NET La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda next > Il software è rivolto a: Chiunque tratta dati personali, con e senza strumenti elettronici, è tenuto

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Questo documento illustra il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei

Dettagli

UNINDUSTRIA SERVIZI s.r.l. REGOLAMENTO PER LA PROTEZIONE DEI DATI

UNINDUSTRIA SERVIZI s.r.l. REGOLAMENTO PER LA PROTEZIONE DEI DATI UNINDUSTRIA SERVIZI s.r.l. REGOLAMENTO PER LA PROTEZIONE DEI DATI REDATTO AI SENSI E PER GLI EFFETTI DELL ARTICOLO 34, COMMA 1, LETTERA G) DEL D.LGS 196/2003 e successive modifiche, E DEL DISCIPLINARE

Dettagli

Il presente documento ha la finalità di descrivere un codice di comportamento nell uso degli strumenti informatici e servizi di rete.

Il presente documento ha la finalità di descrivere un codice di comportamento nell uso degli strumenti informatici e servizi di rete. Uso sistemi e servizi informatici Codice di comportamento per l utilizzazione di sistemi e servizi informatici Redatto da: Carlo Cammelli Dirigente del settore Tecnologie informatiche 0. INFORMAZIONI SUL

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA COMUNE DI CALLIANO Provincia Autonoma di Trento REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA Approvato con deliberazione di Consiglio Comunale n. 32 di data 28 novembre 2013 CAPO I Principi Generali

Dettagli

Manuale sulle Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela Corporate che utilizza i servizi di Internet Banking.

Manuale sulle Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela Corporate che utilizza i servizi di Internet Banking. Manuale sulle Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela Corporate che utilizza i servizi di Internet Banking. Il presente manuale è stato redatto per fornire alle Aziende

Dettagli

Regolamento per l utilizzo degli impianti di videosorveglianza

Regolamento per l utilizzo degli impianti di videosorveglianza COMUNE DI ESCOLCA PROVINCIA DI CAGLIARI via Dante n 2-08030 Escolca (CA) Tel.0782-808303 Fax 0782-808516 Partita I.V.A. 00814010914 Codice Fiscale 81000170910 Regolamento per l utilizzo degli impianti

Dettagli

Privacy e rapporto di lavoro. Controlli del datore di lavoro su internet ed e-mail. Sistemi di videosorveglianza, geolocalizzazione e biometria.

Privacy e rapporto di lavoro. Controlli del datore di lavoro su internet ed e-mail. Sistemi di videosorveglianza, geolocalizzazione e biometria. Aspetti pratici della corretta gestione degli adempimenti necessari. Privacy e rapporto di lavoro. Controlli del datore di lavoro su internet ed e-mail. Sistemi di videosorveglianza, geolocalizzazione

Dettagli

DISCIPLINARE AZIENDALE IN MATERIA DI UTILIZZO E CONTROLLO DEGLI STRUMENTI INFORMATICI

DISCIPLINARE AZIENDALE IN MATERIA DI UTILIZZO E CONTROLLO DEGLI STRUMENTI INFORMATICI DISCIPLINARE AZIENDALE IN MATERIA DI UTILIZZO E CONTROLLO DEGLI STRUMENTI INFORMATICI Entrata in vigore:02/03/10 PREMESSO CHE La Società (di seguito indicata anche come titolare ) mette a disposizione

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE Approvato con deliberazione del Commissario Straordinario n.35 del 10/04/2013 1/12 CAPO I PRINCIPI GENERALI Art. 1

Dettagli

PRIVACY POLICY DEL SITO WWW.MARVASI.IT. Di seguito vengono indicate le modalità di raccolta e trattamento dei dati.

PRIVACY POLICY DEL SITO WWW.MARVASI.IT. Di seguito vengono indicate le modalità di raccolta e trattamento dei dati. PRIVACY POLICY DEL SITO WWW.MARVASI.IT Premessa La L. Marvasi s.r.l., ai sensi dell art. 13 del D.Lgs. n.196/2003, fornisce la presente policy sulla privacy al fine di descrivere le modalità di gestione

Dettagli

CARTA dei SERVIZI. Servizi Informatici. di Dario Folli. Pagina 1 di 6 SERVIZI

CARTA dei SERVIZI. Servizi Informatici. di Dario Folli. Pagina 1 di 6 SERVIZI Pagina 1 di 6 CARTA dei? Pagina 2 di 6 per Hardware e Software di BASE Analisi, Progetto e Certificazione Sistema Informatico (HW e SW di base) Le attività di Analisi, Progetto e Certificazione del Sistema

Dettagli

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI Codice Privacy Procedura per la gestione del backup e del restore dei dati CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI 1 Regolamento aziendale per l utilizzo delle risorse informatiche,

Dettagli

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Comune di Nola Provincia di Napoli Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Sommario Articolo I. Scopo...2 Articolo II. Riferimenti...2 Articolo III. Definizioni

Dettagli

PIANO DI SICUREZZA DEI DOCUMENTI INFORMATICI (ver. 1.0)

PIANO DI SICUREZZA DEI DOCUMENTI INFORMATICI (ver. 1.0) Manuale di gestione informatica dei documenti Comune di Castelfranco Emilia ALLEGATO 9 PIANO DI SICUREZZA DEI DOCUMENTI INFORMATICI (ver. 1.0) Sommario Acronimi... 2 Obiettivi... 2 Generalità... 2 Formazione

Dettagli

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI D.Lgs. 196/03 artt.31-36 Allegato B Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi e controllati,

Dettagli

Comune di Casatenovo Provincia di Lecco REGOLAMENTO PER L UTILIZZO DEL SISTEMA DI VIDEOSORVEGLIANZA DEL COMUNE DI CASATENOVO

Comune di Casatenovo Provincia di Lecco REGOLAMENTO PER L UTILIZZO DEL SISTEMA DI VIDEOSORVEGLIANZA DEL COMUNE DI CASATENOVO Comune di Casatenovo Provincia di Lecco REGOLAMENTO PER L UTILIZZO DEL SISTEMA DI VIDEOSORVEGLIANZA DEL COMUNE DI CASATENOVO Approvato con Deliberazione Consiliare N 18 del 17/03/2008 SOMMARIO : CAPO I

Dettagli

Regolamento relativo all'accesso, uso e gestione della Rete Informatica del Comune di CAVERNAGO

Regolamento relativo all'accesso, uso e gestione della Rete Informatica del Comune di CAVERNAGO Regolamento relativo all'accesso, uso e gestione della Rete Informatica del Comune di CAVERNAGO Deliberazione di giunta Comunale del 02-04-2015 Pagina 1 di 10 ART. 1 OGGETTO E AMBITO DI APPLICAZIONE Il

Dettagli

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA Una proposta per rispondere alla misura 4.4 (o e ) del Provvedimento del Garante del 28 novembre 2008. E' possibile dare il proprio

Dettagli

REGOLAMENTO COMUNALE SULLA VIDEOSORVEGLIANZA ADOTTATO CON DELIBERA DI CONSIGLIO COMUNALE N.125 DEL 26.05.2005

REGOLAMENTO COMUNALE SULLA VIDEOSORVEGLIANZA ADOTTATO CON DELIBERA DI CONSIGLIO COMUNALE N.125 DEL 26.05.2005 REGOLAMENTO COMUNALE SULLA VIDEOSORVEGLIANZA ADOTTATO CON DELIBERA DI CONSIGLIO COMUNALE N.125 DEL 26.05.2005 Modificato con delibera di C.C. 138 del 09 giugno 2006 Indice Art. 1 - Premessa Art. 2 - Principi

Dettagli